Skip to main content
Prueba Lexiel gratisProbar ahora →
DORA: Reglamento de Resiliencia Digital para Entidades Financieras ( Guía 2025
Compliance11 minLexiel

DORA: Reglamento de Resiliencia Digital para Entidades Financieras ( Guía 2025

Guía completa sobre el Reglamento DORA (UE) 2022/2554, en vigor desde enero 2025: qué entidades están obligadas, los 5 pilares de cumplimiento, sanciones y cómo afecta a los despachos de abogados que asesoran al sector financiero.

DORAresiliencia digitalentidades financierasciberseguridadReglamento UE 2022/2554

# DORA: Reglamento de Resiliencia Digital para Entidades Financieras: Guía 2025

El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), es el marco regulatorio europeo que obliga a las entidades del sector financiero a implementar una gestión rigurosa del riesgo de las tecnologías de la información y la comunicación (TIC). Entró en aplicación plena el 17 de enero de 2025.

¿Qué entidades están obligadas por DORA?

DORA tiene un alcance muy amplio. Están obligadas (art. 2 DORA):

  • Entidades de crédito (bancos y cajas de ahorros)

  • Empresas de inversión (ESIs, gestoras de IIC y fondos de pensiones)
  • Entidades de pago y de dinero electrónico
  • Compañías de seguros y reaseguros (y sus grupos)
  • Fondos de pensiones de empleo con más de 15 miembros
  • Agencias de calificación crediticia (ratings)
  • Proveedores de servicios de criptoactivos bajo MiCA
  • Plataformas de financiación participativa (crowdfunding)
  • Repositorios de titulizaciones y operaciones
  • Proveedores terceros críticos de TIC (big tech cloud: AWS, Azure, Google Cloud, y otros designados)

Quedan excluidas las microempresas financieras con menos de 10 empleados y balance inferior a 2 millones de euros.

Los 5 pilares del cumplimiento DORA

Pilar 1: Gestión del riesgo TIC (Arts. 5-16 DORA)

Las entidades deben contar con un marco de gestión del riesgo TIC documentado, aprobado por el órgano de dirección (no delegable a TI), que incluya:

  • Estrategia de resiliencia digital con objetivos cuantificados de recuperación (RTO, RPO).

  • Políticas de seguridad de la información, continuidad de negocio y recuperación ante desastres.
  • Inventario de todos los activos TIC y sus dependencias.
  • Pruebas regulares de los planes de continuidad (mínimo anual para entidades significativas).

El órgano de dirección (Consejo de Administración) tiene responsabilidad directa y no delegable en la aprobación del marco y en la supervisión de su aplicación (art. 5.2 DORA). Este es uno de los cambios más disruptivos: DORA "eleva" la ciberseguridad al nivel de gobierno corporativo.

Pilar 2: Gestión de incidentes TIC (Arts. 17-23 DORA)

Las entidades deben:

  1. Clasificar los incidentes TIC según criterios de la ABE/ESMA/EIOPA.

  2. Notificar los incidentes significativos a la autoridad competente (el Banco de España para bancos, CNMV para ESIs, DGS para seguros) en tres fases:

- Notificación inicial: 4 horas desde la clasificación del incidente como significativo.

- Notificación intermedia: 72 horas desde el incidente, con actualización del análisis.

- Informe final: 1 mes desde la resolución.

  1. Comunicar a los clientes afectados de forma transparente y sin demora.

Las ciberamenazas potenciales pero que no llegan a materializarse también deben ser notificadas voluntariamente (art. 19 DORA).

Pilar 3: Pruebas de resiliencia digital (Arts. 24-27 DORA)

Todas las entidades deben realizar anualmente pruebas básicas de sus sistemas TIC (test de vulnerabilidad, análisis de brechas, evaluaciones de seguridad de la red).

Las entidades significativas (según criterios de la ESA competente) deben realizar TLPT (Threat-Led Penetration Testing, pruebas de penetración basadas en inteligencia de amenazas) al menos cada 3 años. El TLPT sigue la metodología TIBER-EU del Banco Central Europeo.

Pilar 4: Gestión del riesgo de terceros TIC (Arts. 28-44 DORA)

Este pilar es el más novedoso y exigente. Las entidades deben:

  • Mantener un registro de todos los contratos con proveedores TIC (art. 28.3).

  • Realizar due diligence reforzada antes de contratar proveedores TIC críticos.
  • Incluir en los contratos cláusulas obligatorias (art. 30 DORA): niveles de servicio (SLA), derechos de auditoría, derecho a inspección por reguladores, localización de datos, planes de salida y transición.
  • Informar al regulador de contratos con proveedores TIC críticos designados (actualmente Alphabet/Google, Amazon, Microsoft, IBM, Oracle y otros por decisión de ejecución de la Comisión).

Contratos ya existentes: las entidades tuvieron que revisar y adaptar sus contratos con proveedores TIC al estándar DORA antes del 17 de enero de 2025. Los contratos sin las cláusulas obligatorias son irregulares y exponen a sanción.

Pilar 5: Intercambio de inteligencia sobre ciberamenazas (Art. 45 DORA)

Las entidades pueden (no es obligatorio) participar en mecanismos de intercambio de información sobre ciberamenazas e indicadores de compromiso (IOC) con otras entidades del sector, previa notificación al regulador. Esta colaboración está expresamente amparada por el reglamento y no supone infracción de normativa de defensa de la competencia.

Supervisión y sanciones

Autoridades competentes

  • Entidades de crédito: Banco de España (y el BCE para entidades significativas del MUS).

  • Empresas de servicios de inversión: CNMV.
  • Seguros y reaseguros: Dirección General de Seguros y Fondos de Pensiones (DGSFP).
  • Proveedores TIC críticos: las Autoridades Europeas de Supervisión (ABE, ESMA, EIOPA) directamente.

Régimen sancionador

DORA no fija sanciones directamente para la mayoría de entidades (remite a la normativa sectorial de cada Estado miembro), salvo para los proveedores TIC críticos designados, a quienes la autoridad de supervisión principal puede imponer:

  • Multas coercitivas de hasta el 1% del promedio de facturación mundial diaria del año anterior, exigibles durante un máximo de 6 meses.
  • Publicación de la identidad del proveedor y la naturaleza del incumplimiento.
  • En casos graves, prohibición temporal de ofrecer servicios a entidades financieras en la UE.

Para las entidades financieras (bancos, aseguradoras, ESIs), las sanciones se rigen por su normativa sectorial (LOSSEC, TRLMV, LOSSEAR), que contempla multas de hasta el 10% del volumen de negocios neto anual para infracciones muy graves.

Cómo afecta DORA a los despachos de abogados

Los despachos que asesoran a clientes del sector financiero deben conocer DORA para:

  1. Auditar los contratos TIC de sus clientes y detectar cláusulas que no cumplen el art. 30 DORA (ausencia de SLA, falta de derechos de auditoría, localización de datos no especificada).

  2. Asesorar en la negociación con proveedores TIC (especialmente cloud) para incluir las cláusulas obligatorias.
  3. Gestionar incidentes significativos: acompañar al cliente en la notificación de incidentes al regulador dentro de los plazos (4h / 72h / 1 mes).
  4. Revisar el gobierno corporativo: adaptar los reglamentos del Consejo y las funciones del Chief Information Security Officer (CISO) a la responsabilidad indelegable del art. 5.2 DORA.
  5. Defensa en procedimientos sancionadores: representar a entidades ante el Banco de España, la CNMV o la DGSFP en expedientes por incumplimiento de DORA.

Lexiel ayuda a los abogados especializados en fintech y regulación financiera a localizar la normativa DORA, los estándares técnicos (RTS/ITS) de ABE y ESMA, y la jurisprudencia del TJUE en materia de ciberseguridad y protección de datos.

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.